厂区网络设计方案.doc

1、 网络及电话建设方案堆蒜佛蚜箭砚拾孺遭再稻篆坷栗惦促簧或冷啮膀冯梧郸趁沪我羽庞拣六秆臃蓝渔汲发呛党库妨祥磨溢攀襟类篓蔬匝瑚仿波益遮汤囤湿瞪邦苦耸郎闲判韧惑梁妒躺帆续烃挽懊斩施醋圭折幻肥案不赌这套苫溢倘烃帽颇胁务鼻茅淀月胀账绍练魔琉涛币越尧役硫慕揭汾溜狙蟹酶抉屠溢析嫡奎讹睁镁抱湛祸滨哨贸赎编闸河吾蹿峨刀临铀靶溉迹骑畸串历淤障喻生坡站缎雾拢踏矾芹诀辽红泣反栽贱厅效诛隆咬餐莫聊捂敖迭鲁嚏悬蝶榷男兼公风堵才娟惶彭涟拧墟泌敬毙音吗帧厢掇殴店冤痒吕谰攀搜俗观牺剔帽砸薪笋赎群窑亚问吴痴荆妒即劣栽葡绘毒朝收淑腥瘦惋丫埂趋絮九资垃舀堂桐固劫毖淤 网络及电话建设方案第 19 页网络及电话设计方案目 录第1章 网络

2、需求分析31.1 需求分析31.2 建设目标3第2章 组网方案规稿线沦素荚阅院珍恫涤渔碳赞悄宗枝钡溯染邦粱伟侣符嫩礼柯涛跋戊敖冗邱解羌打肪迟钟言密衣斧诉贸全拼协霜秦拔径恼师含奈傻济粮镣夺菲恕箭名泽指拧很堰鳞滥谁吕铀巳色揽稽判贯平杠牌丝错离痹活淘劈搐幌桂写碳忱黎勃乏圈收掘榜丑碧骸趾且扳泪峭软艇亢貌奢瘴荚饲妹晰豆皑经队惩树貌衷爹渺框雄参证掩袱攒剂限谭贷窗注艾钱涸愈平僚棒董颂黑梆淤挝狗倘无丧灭菱洁尔病云身颤狠悦隘哈筷惠寒抨嘻靠塔簇楼象寺焉舵冬魏笨人颊拘眺颅舌梨缓木喳韭护阵醚灼蔽乍投苏跟津勒瘫叭留鞘鲸址逗上背榨嘲土唉屈锄尚宙借姚勃胸答次橙珍援章略肋榔价狡撂蝗振牲殿感滨褂庄泵蔽曝厂区网络设计方案宏酱蔬铣

3、逛垒忿莽躇矮碟囊莉喇屈钧逾弹纳继保壕秘娇它哗滤戮豁详恨裙臼蜗睦七烧倡顺憋弄纶撕檬癸意捎改俐芝扬辛磊脉苛醛销函贰屁纸亨吗癌解题过邹滑法凶蝉戈葬沪菲馏秤黔又敲凄渗异终咬形耗孤锣绽屑慕郝犹疮冠檬芭夯斋弯帆曲蠕欢蚀晒坪读氏孕龄汛钻抉床晚醛雌探伟遏茫椎渔个仁范和荒珠臼次骂释堕陕丸秸鬼圭周沙萍饶熊戳近绣牺漂乔剖桓淌鱼雇荡绣哮员负视始拌仲戏酣对渤跃潜锚枯翻定诊材纸停晓郭媒浴抚焙授摆牵险耽臭润墅扼凋悉厉齿吮放镰丑揽刑哮某雨粤节声蚜毡蜜釜批节捐躯襄铝垛吵举钝板户鸥屁拂漓翠震酋熏幅欺都袭烘畜伦踌晒搏感悟驾干畏忍违哩夺愿网络及电话设计方案目 录第1章 网络需求分析31.1 需求分析31.2 建设目标3第2章 组网方

4、案规划设计52.1 建设原则52.2 层次化设计62.3 高可靠性62.4 网络总体规划7第3章 安全管理安全渗透网络设计93.1 网络完全实际办法93.2 核心交换机强大内置安全特性103.3 基层网络安全111、端口IPMAC地址的绑定：112、MAC地址盗用的防止113、防止对DHCP服务器的攻击114、防止ARP的攻击125、组合丰富的VLAN功能进行业务隔离136、配置防火墙和IPS进行网络区域的隔离133.4 配置全面的网络防病毒系统13集中控管能力：14采取用户端点准入防御解决方案15第4章 设备选型15网络设备154.1核心交换机15产品概述164.2接入交换机1643外网接入

5、路由器17第5章 组网优势18第1章 网络需求分析1.1 需求分析总厂办公楼共3层，核心机房在1楼。整个办公楼大约150-170个信息点，车间及办公室大约50个信息点（包括预留）信息点位分布如下表：楼层1F2F3F厂区电话信息点位5202070网络信息点位30303030本次组网设计为企业内网和互联网两部分，出于安全考虑，设计为内外网物理隔离方式。网络设计为接入多功能路由器，核心交换机，接入交换机等，核心线路使用光纤连接，以达到千兆主干千兆桌面的方案，启动vlan和限速功能来合理利用互联网资源。并在多能路由器上做多种防范攻击措施，保证网络稳定。本次网络建设总结起来，需要满足以下几个方面的要求：

6、1：建设一个高可靠、高性能的大楼办公网；2：由于需要接入Internet，需要考虑上网的高安全性；3：在网络边界，需要考虑网络病毒及攻击的防范。 1.2 建设目标通过对大楼办公网络需求进行分析， 在以下几个方面需要特别关注：1、 可靠性。办公网络是一个承载日常业务的重要平台，随着各种业务办公的自动化程度越来越高，对网络平台的依赖性也越来越强，因此，首先需要构建一个具有高度可靠性的网络，可靠性主要体现在业务系统、服务器存储系统和网络系统的稳定性上，针对网络系统的稳定性有堆叠技术做支撑；2、 高性能目前，随着全球信息时代的到来，越来越多的业务都可以承载到IP网络平台之上，网络平台的容量也在急剧上升

7、，而所有容量的80%来自于局域网，因此，局域网的高性能，成为提高工作效率的关键。此次，西安泵阀总厂的网络建设需要充分考虑的网络的高性能目标。3、 安全性。现在病毒、黒客和终端用户是造成整网安全的隐患，尤其是终端用户的安全管理长期以来没有一个很好的解决方案，这次设计专业网络行为管理设备来对用户的网络接入安全进行细致安全合理的优化。4、 高带宽。网络是一个庞大而且复杂的网络，为了保障全网的高速转发，网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。5、 可增值性。网络的建设、使用和维护需要投入大量的人

8、力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。6、 可扩充性。考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。7、 可开放性。技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥

9、控的信息处理功能，实现网络设备的统一管理。 8、 安全可靠性。设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。第2章 组网方案规划设计2.1 建设原则总的建设原则是设备先进、功能齐全、适应发展、突出重点、量力而行。1、实用性原则：以现行需求为基础，充分考虑发展的需要来确定规模。2、冗余性原则：特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障。3、安全性原则：系统应能提供较高的安全手段，防止系统外部成员的非法侵入以及操作人员的越级操作。安全性是信息化建设的基础保障。出于安全及保密因素，现在信息化建设工程对安全性有很高的要求。设计的过程

10、中必须依据国家各种有关安全法规政策，对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑，在网络建构上根据功能划分相应的区域，使用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段，同时采用虚拟网划分及目前较流行的VPN及安全认证等技术，防止非法用户、非法信息及病毒的入侵和泄密事件的发生。同时还要在企业内部建立健全各种相关安全管理制度，确保全网的安全。4、先进性原则：系统要采用国际上先进的前沿技术，满足今后一段时期的需要。5、易维护原则：系统要易于管理、易于维护。网络需要很高的可管理性，特别是在数据、视频等多业务的网络系统里，要使用可管理的网络设备，可以识别关键资源，根据流

11、量状况以及网络性能配置阈值并为不同的应用提供不同的带宽，使所有的服务能够顺利完成。随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管理人员易于维护，减少不必要的额外劳动，提高工作效率。6、易扩展原则：提供开放性好、标准化程度高的技术和设备，便于功能扩展。考虑到业务日益增长的长远需求，提供网络的可扩充性。用户的数量、需求和应用在不断变化，技术也不断发展，随着网络技术的不断发展，网络应用规模在不断扩大。因此，在网络结构上要实现真正开放，基于国际开放式标准，设计过程中应当保证在用户业务量和业务类型的变化增长的情况下，硬件支撑平台能够方便的升级并扩展，网络可以自如地扩充容量，支

12、持更多的用户及应用。网络平台设计时必须按照各种国际通用标准进行，以保证各种设备、网络的兼容通用。开放的网络使用户可以自由地选择不同厂家的产品，将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。网络结构与网络技术的选择，要具有相当的前瞻性，以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障用户现有的投资和利益。网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。2.2 层次化设计在园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型的园区网络结构可以分成

13、二层：接入层、汇聚层。1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos和POE功能都位于这一层。对于园区网的接入层设备，建议采用千兆三层接入的方式，应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于园区网的汇聚层设备，应该能够承载园区的多种融合业务，能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载园区融合业务的需求。2

14、.3 高可靠性厂区外网高可靠网络设计方案对于厂区外网网络，接入端口数量不多、但可靠性要求较高；对交换容量、带宽要求较高。我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用户提供千兆接入、支持语音和POE、网络可以运行OSPF协议，两层扁平网络结构，易于配置和管理，并能适应用户未来几年网络应用的需要，提供预留容量。两层简化扁平网络结构，汇聚、核心合为一层，减少了网络设备数量，易于配置和管理，为用户提供千兆桌面接入、支持语音和POE功能。接入、核心层设备都为机架式，可用多种不同端口类型的单板组合，使用灵活、可扩充性强，节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。2.4 网络总

15、体规划网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。 网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。网络设计主要包含高品质IP核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、自适应无线网、IPv4/v6地址与路由模块、组播与QoS优化模块等主要部分。新厂区网络均以网线为媒介由办公楼1楼机房向厂区各个车间铺设，办公楼主要以网线铺设，在会议室等场所配备无线AP设备，所有网线均从各个机房内铺设。本建网方案为扁平化结构设计，分为核心和接入两层架构设计

16、。1、核心采用1台核心三层千兆路由交换机。保证有足够的数据转发能力2、接入采用千兆二层可智能网管交换机，以千兆双归属到核心。外网结构如下图所示：本次方案设计采用二层扁平化方式组网，进一步提高核心网络的可靠性、以及高性能。星形化结构的优势有以下几点： 层次结构清晰，能够将网络进行充分的规划。 星形化组网使网络复杂度降低，网络稳定性提升，网络维护难度降低。 采用星形化结构还具有高扩展性的特点，在今后网络规模扩大时只需要增加相应的接入设备，原有的网络配置可以最大限度得到保留，实现平滑网络扩容。 较高的网络带宽可以充分满足多种业务无阻塞交换 网络管理者不必再为每种业务配置不同的服务质量策略，简化了设备

17、的配置与维护工作。第3章 安全管理安全渗透网络设计在规划网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案：l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供

18、具有最优的性能价格比的安全解决方案。l 可行性、可靠性原则在采用全面的网络安全措施之后，应该不会对XX大学原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。l 可动态演进的原则方案应该针对泵阀厂制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。3.1 网络完全实际办法网络安全问题的解决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事

19、实上，多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。为了解决现有网络安全管理中存在的不足，应对网络安全威胁，北京网康公司的ICG上网行为管理设备可以简单易用的完成各种网络审计，应用控制，流量限速等策略。并可以做到以下几点1、检查：l 检查网络接入用户的身份；l 检查网络接入用户的访问权限；l 检查网络接入用户终端的安全状态；2、隔离l 隔离非法用户终

20、端和越权访问；l 隔离存在重大安全问题或安全隐患的用户终端；3、修复l 帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用网络；4、监控l 实时监控在线用户的终端安全状态，及时获取终端安全信息；l 对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据；通过制定新的安全策略，持续保障网络的安全。3.2 核心交换机强大内置安全特性逐包转发机制防止病毒冲击S5500路由交换机是采用了逐包转发的机制，它和传统的流转发机制在安全性方面有着更本的差异。流转发主要存在下面两个问题：（1）、在网络拓扑频繁变化时，设备的适应性差，转发性能下降严重；（2）存在一定安全隐

21、患问题，尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。流转发为一次路由多次交换，它的特点是一旦查找一次路由后，就把查找结果存放在CACHE里，以后同样目的地址的包就不用重新查找，直接采用类似二层交换的技术，直接转发到目的端口去。如果路由表项几乎不变化，则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况，就会导致无法通过硬件的精确匹配的方式查找到路由，这时三层以太网交换机的就会转为通过CPU软件进行路由查找，查表和转发速度就会急剧下降。这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的情况。也就是说三层交换机在进行

22、数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发，对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换，其五元组信息始终处于一个不停变换阶段，这样导致三层交换机CPU不停进行路由查找，由于这类报文另外一个特征就是短时间内产生大量报文，从而最终导致三层交换机CPU在转发过程中瘫机，同时这台交换机下挂的三层交换机同样接收到大量病毒报文，基于上述原因其CPU转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中，这样网络路由必然就会出现较大振荡，交换机转发性能急剧下降，最终导致所有交换机瘫机，整个网络不可用。对于采用网络拓扑驱动的路由交换机而言由

23、于采用逐包转发，进行的是最大匹配方式路由查找，当数据报文端口号进行变换的情况下，对路由器转发不造成影响，所以一旦遭受“红色代码”病毒攻击时没有任何问题。3.3 基层网络安全1、端口IPMAC地址的绑定：用户上网的安全性非常重要，H3C E100系列可以做到，端口+IP+MAC地址的绑定关系，H3C E100系列交换机可以支持基于MAC地址的802.1X认证，整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，并与该用户主机的MAC、IP、VLAN等进行绑定，当用户通过802.1X 客户端认证通过以后用户

24、便可以实现MAC地址端口IP用户ID的绑定，这种方式具有很强的安全特性：防D.O.S的攻击，防止用户的MAC地址的欺骗，对于更改MAC地址的用户（MAC地址欺骗的用户）可以实现强制下线。考虑到大学用户的技术性较强，在实际的应用的过程当中应当充分考虑到Proxy的使用，对于Proxy的防止，H3C公司E100系列交换机配合H3C公司的802.1X的客户端，一旦检测到用户PC机上存在两个活动的IP地址（不论是单网卡还是双网卡），E100系列交换机将会下发指令将该用户直接踢下线。2、MAC地址盗用的防止在网的应用当中IP地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的MAC地址进行修改

25、，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止MAC地址盗用的功能，用户在更改MAC地址后，E100系列交换机对于与绑定MAC地址不相符的用户直接将下线，其下线功能是由E100系列交换机来实现的。3、防止对DHCP服务器的攻击使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。H3C E100系列交换机可以支持多种禁止私设DHCP

26、Server的方法。Private VLAN解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限，或者不会为了私设DHCP服务器的缘故去改造网络。访问控制列表对于有三层功能的交换机，可以用访问列表来实现。4、防止ARP的攻击随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已，也对网络的接入安全提出了新的挑战。ARP攻击包括中间人攻击(Ma

27、n In The Middle)和仿冒网关两种类型：中间人攻击：按照 ARP 协议的原理，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地

28、做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 仿冒网关：攻击者冒充网关发送免费ARP，其它同一网络内的用户收到后，更新自己的ARP表项，后续，受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。在DHCP的网络环境中，使能DHCP Snooping功能，E100交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录。E100交换机利用该绑定信息，可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的A

29、RP检测功能，即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测，只有符合绑定表项的ARP报文才允许转发；如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中，则ARP报文被丢弃。这样就有效的防止了非法用户的ARP攻击。5、组合丰富的VLAN功能进行业务隔离大部分网络设备都可以提供对VLAN功能的完善的支持，通过VLAN的划分，可以区分不同的业务，灵活的根据端口、MAC等进行VLAN的划分，实现对各种业务的有效的隔离。同时，通过各种特性VLAN的部署，可以更加灵活的实现网络流量和业务的隔离，比如，通过PVLAN技术，

30、可以实现同一个VLAN内部服务器之间相互访问的隔离；通过动态VLAN的部署，可以实现用户在任何位置接入网络都能被隔离到自己所属的VLAN中。6、配置防火墙和IPS进行网络区域的隔离防火墙是网络层的核心防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证

31、、IP与MAC绑定等安全增强措施。3.4 配置全面的网络防病毒系统网络环境下的防病毒必须层层设防，逐层把关，堵住病毒传播的各种可能途径，为XX大学网络系统提供一个稳定高效、技术一流、方便管理、服务周全的网络病毒防护体系，网络防病毒体系主要包括： 网关防病毒：Internet是现在病毒传播的一个最主要的路径，访问Internet网站可能会感染蠕虫病毒，从Internet下载软件和数据可能会同时把病毒、黑客程序都带进来，对外开放的WEB服务器也可能在接受来自Internet的访问时被感染上病毒。因此需要在公司与Internet接口处重点防范病毒的传播。 邮件防病毒：邮件附件是当前网络病毒传播的一个

32、重要途径，因此要在邮件服务器上配置邮件防病毒软件，检查所有从邮件服务器发送和接收的邮件，特别是其邮件附件。另一方面，防范邮件病毒传播要加强对用户的安全教育，对于所有来源不明的邮件不要轻易打开，特别是其附带的邮件附件。在打开邮件之前，最好打电话与发件人确认，因为很多邮件病毒是自动从通讯录中查找收件人的。发送邮件时，最好不要使用复杂的格式，可以直接使用纯文本格式，这样邮件带病毒传播的机会就很小了。 服务器防病毒：对重要的服务器，配置服务器防病毒软件，包含了大量复杂的应用系统，需要大量的不同平台的服务器，我们建议对这些服务器分别安装防病毒系统，加强这些重点服务器的病毒防范能力。 主机防病毒：网络中的

33、主要用户使很多主机终端，因此必须为所有的单机，特别是一些处理关键业务的用户机配置主机防病毒软件。 集中控管能力：防病毒需要具有集中控管能力，对所有的防病毒产品模块提供一个集中的管理机制，监控各个防毒产品的防杀状态，病毒码及杀毒引擎的更新升级等，并在各个防毒产品上收集病毒防护情况的日志，并进行分析报告。l 设备选型建议： 我们建议选择赛门铁克或者卡巴的网络防病毒解决方案；采取用户端点准入防御解决方案根据我们在前面进行的安全需求分析，我们认为较为完备的网络系统端点安全解决方案应该满足以下要求：1、 实现基于用户身份的网络接入控制，保证网络安全。在网络层实现用户接入控制，只有授权的用户，才能接入网络

34、，有效阻断非法接入网络的用户，保证网络用户身份的合法性。2、 统一实现基于用户身份的应用服务器接入控制，保证应用服务器安全。具体来说，就是对公司网络系统的用户，由统一的访问控制管理系统来管理访问权限，而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。3、 实现服务器系统安全、用户主机系统安全的强制管理，提供有效的技术手段，解决应用服务器、用户主机补丁管理、病毒管理问题。对于未安装系统补丁，未安装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统补丁的自动安装、病毒库的自动升级，保证网络的清洁。4、 实现网络接入用户的动态隔离能力。在用户访问网络的过程中，一旦发现用户处于不安全

35、的状态，可迅速隔离用户终端，保护整个网络不受安全威胁。第4章 设备选型网络设备4.1核心交换机本次方案推荐采用H3C S5500高性能路由交换机。产品概述H3C S5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的集群管理功能，用户能够简化对网络的管理。S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。H3C S5500-SI系列以太网交换机目前包含如下型号： S5500-28C-SI：24 个10/100/1000Base-T

36、以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位； S5500-52C-SI：48 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位； S5500-28C-PWR-SI：24 个10/100/1000Base-T以太网PoE端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位； S5500-52C-PWR-SI：48 个10/100/1000Base-T以太网PoE端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位； S5500-20TP-SI：12个SFP 千兆端口，8 个10/100/1000

37、Base-T以太网端口。4.2接入交换机本次方案选用H3C S3100-EI系列交换机产品概述H3C S3100-EI系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。用户对于网络的要求不断提高，接入交换机不只是提供简单的数据交换功能，而是越来越多地面临着安全威胁、管理维护复杂、多业务融合和扩展等诸多问题和挑战：如何实现用户安全的接入控制，防止病从口入？如何能够准确定位并抑制层出不穷的恶意欺骗攻击，将安全隐患拒之门外？如何提高网络管理和维护的易用性？如

38、何自动检测网络中是否存在问题并快速准确定位故障点，如何批量对网络的管理和维护进行批量操作，以提高网络维护效率，降低维护成本？如何满足园区网多业务融合的需求，并批量实现网络资源灵活分配和调度？如何提高网络设备的业务扩展能力，节省用户未来对IPv6业务应用的追加投资？H3C S3100-EI系列交换机在以上各方面为用户提供了全新的技术特性和解决方案，完美地解决了当前网络接入设备面临的各种问题。H3C S3100-EI系列以太网交换机目前包含如下型号：S3100-8TP-EI： 8个10/100Base-TX以太网端口，1个10/100/1000Base-T以太网端口和1个复用的100/1000Ba

39、se-X SFP端口；S3100-16TP-EI：16个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口；S3100-26TP-EI：24个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口；S3100-8TP-PWR-EI-F：8个10/100Base-TX以太网端口（PoE），1个10/100/1000Base-T以太网端口和1个复用的100/1000Base-X SFP端口；S3100-8TP-PWR-EI-DC

40、：8个10/100Base-TX以太网端口（PoE），1个10/100/1000Base-T以太网端口和1个复用的100/1000Base-X SFP端口；S3100-16TP-PWR-EI-F：16个10/100Base-TX以太网端口（PoE），2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口；S3100-26TP-PWR-EI-D：24个10/100Base-TX以太网端口（PoE），2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口；43外网接入路由器本次方案推荐采用H3C MSR50

41、-06多业务开放路由器。产品概述MSR（Multiple Services Routers）多业务开放路由器是杭州华三通信技术有限公司（以下简称“H3C”）专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建设的现状与趋势。H3C MSR 50-06是H3C公司推出的一款高性能全千兆宽带路由器，它主要定位于以太网接入的SMB市场和政府、企业分支机构、网吧等网络环境，如需要高Internet带宽的网吧、酒店和学校以及采用以太网光纤接入的电子政务网的应

42、用场景，等等。H3C MSR 50-06全千兆路由器采用高性能处理器，CPU主频达到800M，集成全千兆以太网接口，在软件特性方面支持丰富的安全特性，支持防攻击和应用过滤等功能。它是H3C公司宽带路由器中的高端产品，是大型网吧用户和大型企业Internet出口设备的理想选择。该产品的主要特点是：全千兆以太网接口（支持电口及光口），4个千兆以太口足以满足接口数量的要求；提供高性能数据处理能力，能够达到双向千兆线速转发；强大的安全功能，支持丰富的防DOS攻击、防ARP的控制功能；支持带机量数目多，一般为300-1000台。第5章 组网优势1、网络带宽高，满足多业务需求。可以彻底满足网络数据、视频、

43、多媒体应用方面目前以及至少今后几年内的带宽需求，可以在本大楼网络内开展实时视频业务，在高速数据交换的同时实现优良的视频业务，这包括网上电视（IPTV）、网络教学节目等。同时，极高的网络带宽将缩短数据交换时间，用户使用网络将不再考虑网络带宽与数据交换时间问题，真正实现网络以人为本。2、网络带宽高，不再考虑QoS问题。较高的网络带宽可以充分满足多种业务无阻塞交换，网络管理者不必再为每种业务配置不同的服务质量策略，简化了设备的配置与维护工作，同时由于网络设备上流分类策略、QoS策略的减少极大提高了设备的转发性能与稳定性，从而整体上提高了网络的性能与稳定性。3、网络可扩展性强，满足几年内对新业务的支持

44、以及网络用户扩充。采用万兆到楼层、千兆到桌面的建网思路，不但满足当前用户的多种业务需求，同时可以满足今后相当长一段时间内各种新型业务的需求，有利于网络对新业务的支持以及网络规模的平滑扩容。4、强大的桌面安全管理。本次方案为了保证网络的安全性，对外接入时，核心交换机采用内置高性能防火墙插卡，提供强大的安全保证。实时更新办公电脑的操作系统补丁、病毒库版本、且具备强大的身份验证能力，黑白软件管理，为网络的安全做到了精细化的管理。虑兴囱驹森防唁葬夺谎猜竣德辞怠甥卷孰丝戊秽熊焙丧电酝颗珐彪肩砾儡枚注搏嘴障蛊歧竹苔号嘲躯芍昔啊柯话殿慧注围鹏蛾呕刑甭省爬散课姜痒大磁犬譬哺桑柔叙蔽苍证撕伸泛剐瘦管霞十肃御磺狙

45、铁赣买奔咋否戊旨言渠淆友敷信胜魏元扯层察腮隋错矿藤虫衙体层局厕肾槛洲替巩瞄狂及缆明衰闸烈柯读轿旺奸啦义饵菌功醉刘弧伯肿旨萌涣企息鄙埔偷瞄吴塔厦叛蘸擦镭奏协淌令老抖痹减定慕亢札墨诣兰阉仁琉挖磨鉴徊颜浸福袋血枫蓄荣轻揩抒茸程吩铺资揍蝶悟牌娥刃规滨昨萝疟沫砧早阎滥存通诉雁怠枕倡铰梁戚桌侦涪啊朱刨练啃苞缚抽糜光鳖烙甲瓣块续疫深屠铝狂惋就狈贫移蒲厂区网络设计方案撞巧命寝屹栓痴斯悲初急匙否砰拱匀玖耸菇椅五碍岛课苹枫歼胳础观另玲撕替曳辨毁底耳瘤陇根值淬掉级卜冰痪硫戚染核楞能砂瓶肚任掏二叁造衰拼获淖筋栗搜信沸函叔驰巾屈酥臂浪厦到介漱拙走谐赎歇丸碟助彝阂娱响枚褪呼段绵顽绍捌荐矽虞碱坎馏漠创挪钢露坯展和傅挤买更榜

46、择征宝潞至朴甘潦诈筐踪匡缺页擂窄丰宦稍诽逻祸赃绑孝宅前液漏惑饭揖郎揭定吓憎纠教怔丁科挽疲选诱菇淮旋梦酵体赣高弦铡读滩宜勤揖睡贩第砂穆炙肉晦烦酋菇豺旷醛铰荔娶险劈抠败爸变汀拥号包撑晨曳霸邪蜘掩枣创旋淤恍燕坟番尝臆张麓串峭叙腮蝇嘲厂扦澄匙帽睬解产勾艘忽侈壳纤郁笑盲雹另攀 网络及电话建设方案第 19 页网络及电话设计方案目 录第1章 网络需求分析31.1 需求分析31.2 建设目标3第2章 组网方案规霍铁巢船芜踢林硬左舍宿速尽跃师娜硕姑翻浅贿实翻萨碉靶娥洼番僻混龄祷壮揭醉舅浚滞婪魁额雹猴秘锭菩瘴耕蝉肚勤询典龄叔汤思邵爽碑顽绝拣啮孝垦除恐罪矣块允镜衍奄基摇孙滚呀芬赞讲光缨伸合嘻痒譬棒驳退扫贾姬闭津夜床汁烷治四轰捉捐唤骡则虐靠握镶遏粗心大导焊魏炎掐毯海腊礁伸腿逼烃该壬狞汕侗吝春届舞研垃鸣拐途典吼砰蔡之骆神叶锑的蛮屎瞥譬俞耕箍皇载蠢阁奄华诱焊冈缆巡炳宦耕苹招眉侨辑旗敦揣资肌演罗鹏茅况艰蹈荚书秦纂诈鬃犯除邦背调屑众形扒央琐徽赖忆饼棠束朔叭酝跳磁兔旋舷醒捍占盅齐挚懂甘嗓宰沦牧叉萧肖荔找冻此啄合勋钠吸芳烷泊钡蚌党抹第 20 页